最近也在隐私支付领域 build, 梳理一下对 Zcash 这次事件的愚见和一些衍生思考
这次的 bug 出在 Orchard 的 Halo2 电路里,变基标量乘法约束大概两行代码, 导致非法输入能通过验证。椭圆曲线其实本身没什么问题,bug是纯工程性的。也正因如此,不只Zcash 一家,整条 Tornado / Zcash-Sapling 谱系下以及所有靠手写电路的隐私协议(也包括我自己在做的东西)其实都暴露在同一个风险敞口里。隐私协议架构设计好以后其实大部分开发时间都是在做电路约束和字符对齐这些事情,在过去这种机械式的开发浪费了创始团队大量的宝贵时间。但让我乐观的也在这里:这个 bug 是白帽用 AI 审计几天就挖出来的,而它扛过了顶级密码学家们四年的人工审计(虽然有很多所谓内幕分析,但在没有实质证据之前,讨论意义不大,实事求是)。这个领域随着 AI 从”辅助审计”走到”参与编写和验证约束”这个工程过程大概会越来越安全,尽管白客和黑客基于大模型的不对称博弈仍有待解耦
对原生隐私币这条技术路线目前的看法:
”年前ZEC 起飞到底是庄家拉盘还是项目方作恶”的争论意义不大。真正的问题是,大多数原生隐私币范式本身局限性极大, 只承担”资产转移”这一个功能, 本身不产生现金流价值,没有真正接进稳定币支付、RWA和币股等链上可编程资产这些更大的领域。(Zcash有过提案但一直没什么落地,流动性和Adoption这些资本层面的问题更不用说), 因此以价值创造为第一性原理我更相信”隐私及许多其他都是可编程资产上的一层”这条技术路线,其安全性设计也更优越,隐私层和代币本身解耦, 协议出问题波及不到协议外的用户/资产
说点大家都知道的:市面上大多数隐私协议使用的密码学技术原理都已经很古老了:零知识证明的概念 1985 年就有了, 椭圆曲线和配对是 1985 到 2000 年前后,最常用的 zkSNARK 构造 Groth16 都是十年前的东西, 整个隐私协议甚至是web3行业本质都是把老地基和技术论文重新工程化的过程;从这个角度出发便能理解近期一级市场VC 逐渐转向技术为护城河的团队(Zcash ZODL为代表);实际上整个生态在结构性上是在变好的,逐渐走向良币驱逐劣币的过程;没有新的前沿技术出现行业是无法真正继续前进的。无论什么行业我都希望多些创造,少些存量博弈;价值创造与带来正向现金流是不冲突的
十年后再回头看看,很多事情都会不一样